Cómo Cloudflare alimenta y nutre a los delincuentes de Internet a través de su imperio de proxy inverso y DNS

Michael Duffy

Ciberseguridad

26 Julio 2025 Visitas: 36

La red global de seguridad y distribución de contenidos de Cloudflare protege más de 30 millones de propiedades de Internet. Sin embargo, las mismas características que protegen los sitios legítimos (DNS de proxy inverso, plataformas de desarrollo gratuitas y fácil incorporación) también ocultan kits de phishing, servidores de comando y control de malware y foros extremistas.

Este artículo examina la naturaleza de doble uso de los servicios de Cloudflare, revisa las pruebas disponibles públicamente y propone cambios concretos en las políticas que podrían frenar el abuso sistémico sin perjudicar a los clientes legítimos de la empresa.

Un gigante de la seguridad con un lado oscuro

Cloudflare acelera el tráfico y bloquea las inundaciones de DDoS para millones de dominios. Al mismo tiempo, la misma infraestructura protege kits de phishing, malwares, foros de odio y espejos de la darknet. Los críticos sostienen que la política de neutralidad de la infraestructura de Cloudflare, combinada con una verificación inicial mínima, crea un entorno fértil para las operaciones ciberdelictivas.

El manto de la «nube naranja»

Cuando se proxy un registro DNS (nube naranja), Cloudflare responde a las consultas con sus propias direcciones IP anycast, ocultando la ubicación real del servidor. Sin una IP de origen, los defensores tienen dificultades para atribuir, geolocalizar y eliminar rápidamente, precisamente por eso los actores maliciosos prefieren la nube naranja.

Fábricas de phishing en Pages y Workers

Las plataformas gratuitas para desarrolladores, como «pages.dev» y «workers.dev», aceleran la integración continua para las empresas emergentes... y para los delincuentes. Según el portal de análisis de correos electrónicos sospechosos de Fortra, en 2024 se produjeron 4999 incidentes de phishing que abusaron de Cloudflare Workers, lo que supone un aumento interanual del 104 %, con previsiones de casi 6000 para diciembre de 2025 (Fortra, octubre de 2024). Fortra también midió un aumento del 198 % en los señuelos alojados en páginas (460 → 1370 incidentes).

El «Informe sobre la cadena de suministro del cibercrimen» de 2024 de Interisle Consulting enumera ocho importantes proveedores de subdominios (incluido Cloudflare) que, en conjunto, representan la mayor parte del phishing de subdominios; solo los cuatro primeros alojan más del 60 % de este tipo de abusos.

Túneles que introducen RAT y ladrones

Los túneles «TryCloudflare» permiten a cualquiera generar una conexión saliente temporal desde una máquina privada al borde de Cloudflare. Los informes de amenazas de Proofpoint, eSentire y Securonix documentan campañas de AsyncRAT, Remcos y XWorm que aprovechan estos puntos finales desechables para eludir las listas de bloqueo y frustrar a los investigadores forenses.

Denuncias de abuso que exponen a los denunciantes

Cuando los investigadores envían denuncias de marcas registradas, phishing o malware a «abuse.cloudflare.com», Cloudflare reenvía todo el informe, incluyendo el nombre, el correo electrónico y el teléfono del denunciante, tanto al proveedor de alojamiento como al operador del sitio web de forma predeterminada cuando se realizan denuncias por infracciones de marcas registradas. El formulario de la empresa presenta una casilla de verificación preseleccionada y no eliminable: «Incluir mi nombre e información de contacto en el informe». Esta divulgación proporciona a los ciberdelincuentes una advertencia temprana, lo que les permite migrar la infraestructura o borrar los registros antes de que se produzca cualquier retirada del alojamiento, lo que convierte la identidad del denunciante en un arma eficaz.

El proxy inverso como lavado de reputación

El proxy inverso de Cloudflare ha sido durante mucho tiempo el último recurso para sitios controvertidos o ilegales. El sitio neonazi «Daily Stormer» perdió la protección de Cloudflare solo después de una decisión unilateral tomada en agosto de 2017, mientras que el foro de acoso «Kiwi Farms» fue eliminado en septiembre de 2022 en medio de un peligro mortal para las personas atacadas. En circunstancias normales, Cloudflare aplaza la acción hasta que los tribunales o las fuerzas del orden lo ordenan, una latencia que los delincuentes aprovechan fácilmente.

La contraargumentación de Cloudflare

Cloudflare sostiene que la neutralidad de su infraestructura preserva la apertura de Internet y que la eliminación generalizada de plataformas castigaría a clientes inocentes. La empresa señala lo siguiente:

Una revisión de la canalización en 2025 que corrige automáticamente el 78 % de los informes de phishing en una hora (Informe de transparencia de Cloudflare, segundo semestre de 2024).
El «Proyecto Galileo», que bloquea una media de 325 millones de ataques al día contra organizaciones sin ánimo de lucro, periodistas y grupos de derechos humanos en situación de riesgo (Cloudflare Radar, 2025).

¿Está Cloudflare alimentando a los delincuentes?

El dilema del doble uso se resume en la Tabla 1.

Mecanismo	Ventaja legítima en materia de seguridad	Ventaja delictiva
IP proxy ocultas	Detiene los ataques DDoS contra activistas	Oculta los servidores de phishing y C2
Páginas/Trabajadores nivel gratuito	CI/CD rápido para pequeñas empresas	Alojamiento masivo de kits sin coste alguno
Servicio de túnel	Acceso remoto seguro	Preparación sigilosa de malware
Divulgación del formulario de abuso	Transparencia de las políticas para los hosts	Consejos para que los delincuentes actúen con rapidez

Tabla 1: Características de doble uso de los servicios de Cloudflare

¿Qué es lo que realmente inclinaría la balanza?

Mitigaciones por parte del usuario

Utilizar el refuerzo del origen: limitar el tráfico entrante a los rangos de IP de Cloudflare y habilitar las extracciones de origen autenticadas.
Suscribirse a fuentes de información sobre amenazas que asignan los dominios proxy de Cloudflare a subdominios o túneles sin servidor.

Acciones de Cloudflare/reguladores

Hacer que la divulgación de informes de abuso sea «opt-in» por defecto.
Exigir un KYC (código SMS) de baja fricción para las nuevas cuentas de nivel gratuito.
Limitar la duración de los túneles y restringir la creación masiva de subdominios.
Publicar un panel de control público de abusos que realice un seguimiento de la latencia de las retiradas y la reincidencia.
Ofrecer créditos de servicio a los clientes con un historial limpio; aplicar sanciones por abusos repetidos.

Conclusión

Cloudflare no inventó la ciberdelincuencia, pero la arquitectura y las políticas de la empresa la alimentan de forma innegable. Hasta que la prevención del abuso se integre en el proceso de incorporación y la identidad de los denunciantes esté protegida por defecto, la insignia orange‑cloud seguirá sirviendo tanto de escudo para los buenos como de fertilizante para los malos. La pregunta que queda por responder no es si Cloudflare puede actuar, sino con qué urgencia desplegará las medidas ya previstas.

Michael Duffy

CEO, Excedo Networks AB

Michael Duffy is the CEO & CISO of Excedo Networks and has been working in the IT and cybersecurity industry for more than 30 years. One of the foremost experts in his field, Michael's goal is to make the internet a safer place for individuals and businesses. Through Excedo, he has worked with major Swedish government entities to ensure they are fully protected in the constantly evolving world of cyberattacks.

Dirección corporativa

Jan Stenbecks torg 17
164 40 KISTA
SUECIA

+46-8-50161200

Soluciones digitales premium